Seguridad Informática Introducción al Ethical Hacking

20
Seguridad Informática Federico Pacheco @FedeQuark www.federicopacheco.com.ar [email protected] Introducción al Ethical Hacking

Transcript of Seguridad Informática Introducción al Ethical Hacking

Page 1: Seguridad Informática Introducción al Ethical Hacking

Seguridad Informática

Federico Pacheco

@FedeQuark

www.federicopacheco.com.ar

[email protected]

Introducción al Ethical Hacking

Page 2: Seguridad Informática Introducción al Ethical Hacking

Copyright Entropy Security

Contenidos

• Las evaluaciones de seguridad

• El hacker ético

• Metodología de ataque

• Entregables

Page 3: Seguridad Informática Introducción al Ethical Hacking

Copyright Entropy Security

Seguridad en empresas y organizaciones

• La seguridad de la información es un aspecto de negocios $

• Requiere la implementación de un sistema de gestión de la seguridad

• Requiere la contratación de personal especializado

• Debe incluir evaluaciones internas y externas

Page 4: Seguridad Informática Introducción al Ethical Hacking

Copyright Entropy Security

La evaluaciones de la seguridad

• Permiten conocer el nivel de seguridad de una organización

– Deben realizarse con periodicidad

– Deben contar con la debida autorización legal

• Motivaciones

– Cumplimiento de leyes, regulaciones y normativas

– Identificación de puntos débiles y vulnerabilidades

– Obtención de información para la gestión de la seguridad

• Ejecución y contratación (Ethical Hackers)

– Personal especializado

– Consultoras externas

– Profesionales independientes

Page 5: Seguridad Informática Introducción al Ethical Hacking

Copyright Entropy Security

Tipos de evaluaciones

• Sobre sistemas y redes

– Vulnerability assessment

– Penetration test

– Auditoría informática

• Sobre software

– Testing de aplicaciones

– Auditoría de código fuente

Page 6: Seguridad Informática Introducción al Ethical Hacking

Copyright Entropy Security

Auditoria Técnica de Sistemas

Page 7: Seguridad Informática Introducción al Ethical Hacking

Copyright Entropy Security

Evaluación de la Seguridad Funcional

Page 8: Seguridad Informática Introducción al Ethical Hacking

Copyright Entropy Security

Clasificación según conocimiento

White Box

• Total conocimiento

Gray Box

• Parcial conocimiento

Black Box

• Sin conocimiento

Page 9: Seguridad Informática Introducción al Ethical Hacking

Copyright Entropy Security

Hackers: ¿héroes o villanos?

White Hat

(Ethical Hacker)

Grey Hat

y

Hacktivistas

Black Hat

(Cracker)

Page 10: Seguridad Informática Introducción al Ethical Hacking

Copyright Entropy Security

El Hacker Ético – Rol

• Simular acciones de un ataque real

– ¿A qué puede acceder un intruso?

– ¿Que podría hacer con la información?

– ¿Puede ser notada una intrusión?

• Información necesaria

– Qué se intenta proteger

– Contra quién se protege

– Con qué recursos se cuenta

Page 11: Seguridad Informática Introducción al Ethical Hacking

Copyright Entropy Security

El Hacker Etico – Perfil

• Experto en informática

– Software

– Hardware y electrónica

– Redes y telecomunicaciones

– Programación

– Investigación de vulnerabilidades

• Técnicas de seguridad

• Habilidades sociales

• Código de conducta estricto

• Paciencia y perseverancia

Page 12: Seguridad Informática Introducción al Ethical Hacking

Copyright Entropy Security

Áreas de Explotación

Sistemas Operativos

Aplicaciones

Código propio Configuraciones

Page 13: Seguridad Informática Introducción al Ethical Hacking

Copyright Entropy Security

Clasificación de ataques

Por actividad

Activos

Pasivos

Por ubicación

Internos

Externos

Por naturaleza

Técnico

No técnico

Page 14: Seguridad Informática Introducción al Ethical Hacking

Copyright Entropy Security

Metodología de Ethical Hacking – Fases

Reconocimiento

Escaneo y enumeración

Acceso

Mantenimiento

Eliminación de rastros

Page 15: Seguridad Informática Introducción al Ethical Hacking

Copyright Entropy Security

Metodología de EH – Tipos de escaneo

• Escaneo de Red

– Determinación de equipos activos y direcciones IP

– Detección de sistemas operativos y servicios

• Escaneo de Puertos

– Determinación de puertos TCP/UDP abiertos

– Detección de aplicaciones instaladas

• Escaneo de Vulnerabilidades

– Determinación de la existencia de vulnerabilidades conocidas

Page 16: Seguridad Informática Introducción al Ethical Hacking

Copyright Entropy Security

Ethical Hacking – Proceso completo

Presentar el resultado al cliente (Reporte / Workshop)

Analizar resultados y elaborar los reportes

Llevar adelante el test

Preparar el equipo y establecer agenda

Preparar y firmar un NDA

Discutir con el cliente necesidades y expectativas

Page 17: Seguridad Informática Introducción al Ethical Hacking

Copyright Entropy Security

Entregables

• Informe

– Características

• Calidad de confidencial

• Impreso y digital

– Contenido

• Información General

• Resumen ejecutivo

• Indice de riesgos

• Detalle pruebas realizadas

• Resultados obtenidos

• Vulnerabilidades identificadas

• Recomendaciones

• Detalle de herramientas y técnicas usadas

• Clasificación de problemas según nivel de riesgo

• Workshop (opcional)

– Presentación personalizada de los resultados

– Discusión sobre problemas y soluciones

– Asesoramiento de las alternativas de solución

Page 18: Seguridad Informática Introducción al Ethical Hacking

Copyright Entropy Security

Resumen y conclusiones

• Las evaluaciones de seguridad deben incluirse en toda organización

• El ethical hacking supone la simulación de ataques reales

• El ethical hacker es un profesional de seguridad que se rige por un código de ética

• Existen metodologías y técnicas para realizar pruebas de seguridad

• El informe final representa el trabajo realizado y es de suma importancia

Page 19: Seguridad Informática Introducción al Ethical Hacking

Copyright Entropy Security

Bibliografía, referencias y lecturas complementarias

Page 20: Seguridad Informática Introducción al Ethical Hacking

¿Preguntas?

Federico Pacheco

@FedeQuark

www.federicopacheco.com.ar

[email protected]


CAPTCHA: ¿UNA SOLUCIÓN PARA LA SEGURIDAD INFORMÁTICA O PROBLEMA PARA LA ACCESIBILIDAD/USABILIDAD WEB?

CAPTCHA: ¿UNA SOLUCIÓN PARA LA SEGURIDAD INFORMÁTICA O PROBLEMA PARA LA ACCESIBILIDAD/USABILIDAD WEB?

Gerencia Informática SOA

Gerencia Informática SOA

Seguridad Industrial

Seguridad Industrial

Growth Hacking

Growth Hacking

Tópicos de Computação e Informática

Tópicos de Computação e Informática

SPP Teknik Hacking untuk Pemula

SPP Teknik Hacking untuk Pemula

Informática e Internet Página: 1

Informática e Internet Página: 1

Hands on Hacking

Hands on Hacking

Priveantion of Hacking

Priveantion of Hacking

Introducción a la Informática

Introducción a la Informática

Google Hacking for Penetration

Google Hacking for Penetration

Libro Electrónico de Seguridad Informática y Criptografía v4.1 Capítulo 5: Introducción a la Gestión de la Seguridad

Libro Electrónico de Seguridad Informática y Criptografía v4.1 Capítulo 5: Introducción a la Gestión de la Seguridad

Laboratório de Informática ICHF - Desestrutura

Laboratório de Informática ICHF - Desestrutura

Internet of Things Hacking - Autosec

Internet of Things Hacking - Autosec

Informática y Computación 2.pdf

Informática y Computación 2.pdf

Module 37 Bluetooth Hacking

Module 37 Bluetooth Hacking

Hacking the Extensible Firmware Interface

Hacking the Extensible Firmware Interface

Untitled - INGENIERÍA INFORMÁTICA

Untitled - INGENIERÍA INFORMÁTICA

Proyecto AMPARO Análisis de Pertinencia de un Organismo Regional de Atención a Incidentes de Seguridad Informática

Proyecto AMPARO Análisis de Pertinencia de un Organismo Regional de Atención a Incidentes de Seguridad Informática

History & Impact of Hacking

History & Impact of Hacking